Free et SPF record (DNS) pour mail de domaine

Yves Roumazeilles — Tue, 18 Dec 2018 20:49:27 +0000

Énoncé du problème

Je possède un nom de domaine (Roumazeilles.net) mais depuis ma migration vers une FreeBox, il semble plus comfortable d’émettre mes mails via le serveur SMTP de Free. Sauf que, pour se protéger du SPAM, la plupart des opérateurs de courrier électronique vérifient l’origine du mail pour s’assurer qu’il arrive bien d’une origine autorisée (ce qui permet de distinguer beaucoup de SPAM et de mails de phishing).

SPF record – Tentative #1

L’idée de base (la plus évidente) consistait à créer un SPF record de la forme suivante :

roumazeilles.net. IN TXT "v=spf1 include:mx.ovh.com a:smtp.free.fr ~all"

…qui ressemble à la valeur par défaut recommandée par OVH (mon hébergeur et le gestionnaire de mon DNS).

Mais cela pose à vrai problème : Free n’a rien déclaré ni pour free.fr, ni pour smtp.free.fr, ce qui mène à une erreur d’interprétation du record SPF par la plupart des opérateurs de courrier électronique. Un SPF record invalide garantit presque que le mail ne sera pas diffusé correctement.

SPF record – Tentative #2

Comme les serveurs de mail de Free (et ils sont nombreux) sont de la forme :

smtp1-g21.free.fr <=> 2a01:e0c:1:1599::10 <=> 212.27.42.1

Il est possible de passer plutôt par une déclaration d’adresse IP. C’est moins élégant, mais on peut faire.

roumazeilles.net. IN TXT "v=spf1 include:mx.ovh.com a:smtp1-g21.free.fr a:smtp2-g21.free.fr a:smtp3-g21.free.fr a:smtp4-g21.free.fr a:smtp5-g21.free.fr a:smtp6-g21.free.fr ip6:2a01:e0c:1:1599::10 ip6:2a01:e0c:1:1599::11 ip6:2a01:e0c:1:1599::12 ip6:2a01:e0c:1:1599::13 ip6:2a01:e0c:1:1599::14 ip6:2a01:e0c:1:1599::15 ~all"

De fait, la déclaration s’allonge singulièrement. Au point que le record devient invalide parce que comportant trop d’entrées. Il faut donc sérieusement optimiser.

SPF record final

La solution a finalement été de créer un SPF record taillé sur mesure.

roumazeilles.net. IN TXT "v=spf1 include:mx.ovh.com ip4:212.27.42.0/24 ip6:2a01:e0c:1:1599::10/124 ~all"

Il donne une tranche d’adresses IPv4 pour les serveurs STMP de Free, et une autre tranche de 16 adresses IPv6 pour les mêmes serveurs. Compact et efficace.

Conclusion

Le principal inconvénient (mais il n’y a guère de contournement tant que Free n’aura pas fait son travail pour décrire correctement son propre SPF record dans son DNS) est que les adresses de Free sont « en dur ». Au moindre changement chez eux, je serai pris par surprise et je risque de perdre quelques mails.

Au delà, je recommande l’excellent site de test de courriers électroniques mail-tester.com qui permet de vérifier quasi-instantanément (c’est plaisant pour des modifs de DNS) les essais de configuration et qui donne un excellent rapport de test, très lisible.

Sources d’information

Merci à ces sites/auteurs qui m’ont aidé à m’y retrouver :

Et merci à Vincent Rubiolo pour avoir détecté l’erreur de copier-coller dans la version originale de l’article.